Les kill chains, tout le monde en parle… mais personne n’en fait #3 – Discours de la méthode
Rappel des épisodes précédents
Dans le premier volet de la saga « Les kill chains, tout le monde en parle… mais personne n’en fait », on a démontré que les kill chains ne respectaient pas toujours les séquencements d’actions usuellement rencontrés (et largement documentés).
Dans le deuxième volet de la saga « Les kill chains, tout le monde en parle… mais personne n’en fait », on a introduit des bases de connaissances et des articulations entre elles, un préalable indispensable pour aller plus loin.
Il ne reste plus qu’à parler méthode : au regard des constats évoqués et de l’absence d’une méthode au sens strict du terme (EBIOS RM n’est pas une méthode : elle n’explique pas comment faire), comment élaborer efficacement des kill chains ?
Les enjeux de la méthode kill chains…
Qu’attend-on d’une méthode ? Dans notre contexte, on va chercher à manipuler avec les mêmes concepts (ceux qui permettent aux actions de la kill chain de s’enchaîner) des objets très différents (ceux qui composent le périmètre : l’environnement technique et physique, mais aussi les hommes, les organisations, etc.). La difficulté est d’identifier le bon niveau d’abstraction qui permet d’unifier les approches, tout en restant opérant. Vaste programme.
Un autre enjeu fondamental : dès lors qu’on élabore des kill chains sur des systèmes complexes, il devient indispensable de limiter l’explosion combinatoire des scénarios résultants. Une approche systématique, appuyée sur des bases de connaissance communautaires, permet de n’oublier aucun scénario : facile, mais au fur et à mesure que l’on avance dans la kill chain, on multiplie le champ des possibles… et on rend le résultat illisible.
…les pistes de solutions…
Pour répondre à ces enjeux :
- Une approche basée sur l’identification d’états intermédiaires, des « passages obligés » des kill chains, ce qui permet élégamment d’éviter l’explosion combinatoire. C’est facile à dire, il ne reste plus qu’à l’appliquer…
- Un modèle d’automate universel, qui permet, quelle que soit la nature de l’objet considéré et quelle que soit l’étape de la kill chain, d’utiliser les mêmes mécanismes
…et une mise en pratique
Le référentiel PDIS (Prestataire de Détection des Incidents de Sécurité) spécifie grossièrement un système d’information de détection parfaitement adapté à la démonstration :
- Le document est public, les spécifications sont donc partageables,
- Le SI est complexe, donc adapté à la démonstration
- Le SI présente de nombreuses interfaces, donc intéressant pour les kill chains
- Ce type de SI présente de forts enjeux, donc légitimise l’approche par kill chain
On retrouvera dans le support de présentation joint un travail de construction et de hiérarchisation des kill chains sur un environnement-type PDIS. Un travail riche d’enseignements sur les écueils rencontrés, mais qui valide la méthode.
Et maintenant ? À vos kill chains !